文档介绍：实验一利用WireShark观察网络协议分层架构
一、实验目的及任务
熟悉并掌握WireShark的基本操作。
了解网络协议实体间进行交互以及报文交换的情况。
二、实验环境
与因特网连接的计算机网络系统;
主机操作系统为windows;
WireShark、IE等软件。
三、预备知识
一个人要深入理解网络协议,需要:观察它们的工作并使用它们,即观察两个协议实体之间交换的报文序列,探究协议操作的细节,使协议实体执行某些动作,观察这些动作及其影响。这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。
观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器(packet sniffer)。顾名思义,一个分组嗅探器俘获(嗅探)由你的计算机发送和接收的报文。一般情况下,分组嗅探器将存储和显示出被俘获报文的各协议字段的内容。
图1显示了一个分组嗅探器的结构。
图1右边是计算机上正常运行的协议(在这里是因特网协议)和应用程序(如:web浏览器和ftp客户端)。分组嗅探器(虚线框中的部分)是附加计算机普通软件上的,主要有两部分组成。分组俘获库(packet capture library)接收计算机发送和接收的每一个链路层帧的拷贝。高层协议(如:HTTP、FTP、TCP、UDP、DNS、IP等)交换的报文都被封装在链路层帧中,并沿着物理媒体(如以太网的电缆)传输。图1假设所使用的物理媒体是以太网,并且上层协议的报文最终封装在以太网帧中。
分组嗅探器的第二个组成部分是分组分析器。分组分析器用来显示协议报文所有字段的内容。为此,分组分析器必须能够理解协议所交换的所有报文的结构。例如:我们要显示图1中HTTP协议所交换的报文的各个字段。分组分析器理解以太网帧格式,能够识别包含在帧中的IP数据报。分组分析器也要理解IP数据报的格式,并能从IP数据报中提取出TCP报文段。然后,它需要理解TCP报文段,并能够从中提取出HTTP消息。最后,它需要理解HTTP消息。
WireShark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组分析器。WireShark是免费的,可以从。启动该软件时,它的初始运行界面如图2所示。
运行WireShark程序时,其图形用户界面如图3所示。最初,各窗口中并无数据显示。WireShark的界面主要有五个组成部分:
mand menus):命令菜单位于窗口的最顶部,是标准的下拉式菜单。最常用菜单命令有两个:File、Capture。File菜单允许你保存俘获的分组数据或打开一个已被保存的俘获分组数据文件或退出WireShark程序。Capture菜单允许你开始俘获分组。
俘获分组列表(listing of captured packets):按行显示已被俘获的分组内容,其中包括:WireShark赋予的分组序号、俘获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。单击某一列的列名,可以使分组列表按指定列进行排序。在该列表中,所显示的协议类型是发送或接收分组的最高层协议的类型。
分组首部明细(details of selected packet header):显示俘获分组列表窗口中被选中分组的头部详细信息。包括:与以太网帧有关的信息,与包含在该分组中的IP数